Electronic signature framework draft standards documents


Since october 2013 ETSI has made available a set of drafts for public reviews. The comment period has ended.

The documents are available at http://docbox.etsi.org/ESI/Open/Latest_Drafts/

The list includes the following:

TR 119 000     Rationalised structure for Electronic SignatureStandardisation

Signature Creation and validation

TR 119 100    Business Driven Guidance for implementing Signature Creation and Validation

TS 119 101    Policy and Security Requirements for Electronic Signature Creation and Validation

Cryptographic Suites

TR 119 300    Business Driven Guidance for Cryptographic Suites

TS 119 312    Cryptographic Suites for Secure Electronic Signatures

Trust Service Providers Supporting Electronic Signatures

TR 119 400    Business Driven Guidance for TSPs Supporting Electronic Signatures

EN 319 412    Profiles for TSPs issuing Certificates

319 412-1: Overview and common data structures

319 412-2: Certificate profile for certificates issued to natural persons

319 412-3: Certificate profile for certificates issued to legal persons

319 412-4: Certificate profile for web site certificates issued to organisations

319 412-5: Qualified certificate statements for qualified certificate profiles

EN 319 422    Profiles for TSPs providing Time-Stamping Services

EN 319 403    Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers

Trust Application Service Providers

TR 119 500    Guidance for Trust Application Service Provider

SR 019 530    Study on standardisation requirements for e-Delivery services applying e-Signatures

Trust Service Status Lists Providers

TR 119 600    Business Driven Guidance for Trust Service Status Lists Providers

Draft eSignature Standards Second batch

A second batch came a couple of months later:

Rationalized Framework

SR 019 020 Rationalised Framework of Standards for Advanced Electronic Signatures in Mobile Environment

Signature Creation and validation

EN 319 102: Procedures for Signature Creation and Validation

EN 319 122 CMS Advanced Electronic Signatures (CAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 132 XML Advanced Electronic Signatures (XAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 142 PDF Advanced Electronic Signature Profiles (PAdES)

Part 1: PAdES Overview – a framework document for PAdES

Part 2: PAdES Basic – Profile based on ISO 32000-1

Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles

Part 4: PAdES Long Term – PAdES-LTV Profile

Part 5: PAdES for XML Content – Profiles for XAdES signatures

Part 6: Visual Representations of Electronic Signatures

Part 7: PAdES Baseline Profile

EN 319 162 Associated Signature Containers (ASiC)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 172 Signature Policies

Trust Service Providers Supporting Electronic Signatures

EN 319 411 Policy and security requirements for Trust Service Providers issuing certificates

Part 1: Policy requirements for Certification Authorities issuing web site certificates

Part 2: Policy requirements for certification authorities issuing qualified certificates

Part 3: Policy requirements for Certification Authorities issuing public key certificates

Part 4: Policy requirements for certification authorities issuing Attribute Certificates

EN 319 421 Policy and Security Requirements for Trust Service Providers providing Time-Stamping Services

Servicio de custodia digital “Cartulario”


Cartulario es una plataforma multiusuario, desarrollada en modo SaaS y disponible en modalidad “Cloud Computing” o “Nube TIC“, que permite una rápida puesta en marcha de las soluciones de Confianza Digital.

De esta forma, garantiza la seguridad de los intercambios, la confianza del archivo y la gestión de la prueba jurídica.

Las tecnologías que ofrece Cartulario permiten el concepto de Prueba Digital y garantizan la seguridad en el Intercambio y el Archivo.

Entre ellas están:

  • Autenticación,
  • Cifrado,
  • Registro,
  • Trazabilidad,
  • Control de la integridad,
  • Sellado de tiempo (interno y por un tercero de confianza).
  • Metadatos de original electrónico (Completitud, Obliterabilidad, Endosabilidad)

Diferentes niveles de administración, que permiten ofrecer estas funcionalidades a las empresas, a las administraciones públicas o al público general, de forma flexible y escalable.

Cuenta con un webservice para el depósito de documentos y administra diferentes mecanismos de gestión de CSV (Código Seguro de Verificación).

Contacte con EADTrust en el 91 716 0555 para ampliar información.

Auditoría de firma electrónica: firma electrónica certificada


Los sistemas de gestión de firmas electrónicas se basan en un enjambre de normas técnicas y jurídicas que hacen difícil saber si se han adoptado adecuadamente.

Las múltiples opciones en la gestión de las firmas electrónicas permiten mucha flexibilidad a la hora de diseñar los sistemas, pero un error de implementación puede arruinar un buen diseño inicial.

Por eso, la posibilidad de auditar y certificar las soluciones de firma electrónica es una garantía para los implementadores de sistemas que gestionan firmas electrónicas y también para los usuarios de esos sistemas.

EADTrust es una entidad que audita sistemas de gestión, workflows, gestores documentales, CRMs y ERPs que emplean firmas electrónicas y da una opinión sobre si se implementan de forma adecuada. El análisis contempla gestión de archivo de los documentos electrónicos firmados y los procesos anejos que en los que se precisa la fuerza probatoria de la firma electrónica.

Los sistemas auditados por EADTrust contemplan los siguientes elementos:

  1. La firma se realiza con certificados reconocidos y dispositivos seguros de creación de firma, o se usa en contextos en los que alguno de estos requisitos no es exigible.
  2. La firma incluye información del momento de firma y de que el certificado utilizado para firmar no estaba revocado en ese momento.
  3. La firma se realiza con certificados emitidos por prestadores que cumplen la normativa aplicable sin más restricciones que las debidas al interés de los ciudadanos que usan las firmas.
  4. La firma permite comprobar los datos principales de los firmantes a partir de los certificados, sin necesidad de usar herramientas especiales
  5. Es posible acceder a una versión del documento que incluye la firma electrónica diseñado para ser apreciado por una persona sin conocimientos especiales, incluso en detalles derivados de la propia interpretación de la firma electrónica
  6. Los documentos son verificables en cualquier momento por un tercero a partir de la información de representacion visible de documento, y a partir de la codificación (código fuente) que incluye sus datos estructurados, de ser aplicable.

Las soluciones auditadas que cumplen todos estos requisitos reciben un informe favorable y pueden exhibir el logo de “firma certificada” creado por EADTrust.

La información sobre los sistemas auditados se incluye en las siguientes páginas web de referencia:

Periodo de vigencia del CSV (Código Seguro de Verificación)


En relación con la implementación de la Ley 11/2007 por parte de las administraciones públicas surgen preguntas como ¿Durante cuanto tiempo se pueden ver en la sede electrónica los documentos electrónicos a través del Código Seguro de Verificación?

La normativa desarrollada no contempla todas las opciones y los organismos tienen que tomar decisiones. Para fijar criterio a la hora de trabajar en las implantaciones de la administración electrónica conviene tener en cuenta los conceptos de la diplomática digital.

En relación con la pregunta indicada, hay que decir que el CSV debe conservarse para siempre. El acceso al documento se limita por la política de gestión documental de la entidad, y debe poder hacerse siempre, bien en la sede electrónica original, bien en el organismo a cargo del archivo.

Hay que hacerse a la idea de que el CSV equivale al número de protocolo de los notarios.

En el ámbito notarial, se puede solicitar copia simple o auténtica de un documento a partir de su matriz en el propio notario que lo protocolizó (cuya identidad equivale a la de la sede electrónica del organsmo) o bien en su sucesor en el protocolo, o bien en el sistema de archivo a largo plazo de protocolos.

En el caso de las administraciones públicas, siempre debe quedar definido en la política de gestión documental el órgano ante el que se puede solicitar el documento una vez superada la fase administrativa en la que el procedimiento esta “vivo” o dentro de los plazos de prescripción.

Y para el “handout” de documentos electrónicos auténticos, cuando deban hacerse cargo de ello los archivos a largo plazo, debe firmarse entre el organismo cedente y el cesionario un documento que refleje las técnicas de preservación documental electrónica previas y futuras y los controles de integridad (hashes y timestampings) de los documentos (o colecciones) transferidos.

Atenea Interactiva organiza cursos de Diplomática Digital. Se puede contactar con el 902 365 612 o el 917160555 para solicitar un curso in-company o para inscribirse en el próximo seminario abierto sobre este tema.

Publicación Electrónica Certificada o Comprobación Fehaciente


Logo EAD Trust EADTrust ofrece el servicio de Publicación electrónica certificada, también llamado de “comprobación fehaciente” de páginas web y documentos publicados en sedes electrónicas. Llame al 902 365 612 para solicitar información.

El servicio  de Publicación certificada es de interés para entidades públicas y poderes adjudicadores que tienen que tienen que demostrar la publicación de licitaciones en el “Perfil del contratante” según indican el Artículo 53 del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público (equivalente al antiguo artículo 42 de la Ley de Contratos del Sector Público de 2007) y el artículo 141 (Anuncio previo).

También es de utilidad para Sociedades que convocan Juntas de Accionistas a través de la Página web de la Sociedad (antiguamente referida como Sede Electrónica ) y a las que les es de aplicación el artículo 518 de la Ley de Sociedades de Capital. En el caso de las sociedades de capital, deben tener en cuenta, también, a estos efectos, los artículos  11 bis, 11 ter y 11 quater y el artículo 173.

Esta Ley de Sociedades de Capital ha sufrido múltiples cambios en los últimos años:

Uso de medios electrónicos en relación con la convocatoria de Juntas de Accionistas


Logo EAD Trust El Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, ha sufrido diversas modificaciones, la más importante de las cuales ha tenido lugar con la publicación de la  Ley 25/2011, de 1 de agosto, de reforma parcial de la Ley de Sociedades de Capital y de incorporación de la Directiva 2007/36/CE, del Parlamento Europeo y del Consejo, de 11 de julio, sobre el ejercicio de determinados derechos de los accionistas de sociedades cotizadas.

 Ahora que muchas sociedades cotizadas están preparando las juntas y deben realizar la convocatoria, conviene recordar que es obligatoria la publicación de la convocatoria en la página web de la sociedad, con al menos 30 días de antelación y de forma ininterrumpida hasta la celebración de la Junta y que es conveniente contar con algún medio de prueba del cumplimiento de dicho requisito.

EADTrust proporciona un servicio que acredita fehacientemente la publicación de la convocatoria y de los documentos conexos en la sede electrónica de la sociedad, del que se puede obtener más información en este sitio: Publicación Fehaciente. Se puede obtener más información llamando al 902 365 612.

Los artículos de la norma que conviene tener en cuenta, son los siguientes:

Artículo 11 bis. Sede electrónica.

1. La creación de una página web corporativa deberá acordarse por la junta general de la sociedad. El acuerdo de creación deberá ser inscrito en el Registro Mercantil o bien ser notificado a todos los socios.

La supresión y traslado de la página web de la sociedad podrá ser acordada por el órgano de administración, salvo disposición estatutaria en contrario. Dicho acuerdo deberá inscribirse en el Registro Mercantil o ser notificado a todos los socios y, en todo caso, se hará constar en la propia página web suprimida o trasladada, durante los treinta días posteriores a la adopción de dicho acuerdo de traslado o supresión.

2. Será a cargo de los administradores la prueba de la certeza del hecho de la inserción de contenidos en la web y de la fecha en que se hicieron. Para acreditar el mantenimiento de dicho contenido durante el plazo de vigencia será suficiente la manifestación de los administradores que podrá ser desvirtuada por el perjudicado mediante cualquier prueba admisible en Derecho.

Artículo 173. Forma de la convocatoria.

1. Salvo disposición contraria de los estatutos, la junta general será convocada mediante anuncio publicado en el Boletín Oficial del Registro Mercantil y en la página web de la sociedad. Con carácter voluntario y adicional a esta última o cuando la sociedad no tenga página web, la convocatoria se publicará en uno de los diarios de mayor circulación en la provincia en que esté situado el domicilio social.

2. Los estatutos podrán establecer que la convocatoria se realice mediante anuncio publicado en la página web de la sociedad o por cualquier procedimiento de comunicación, individual y escrita, que asegure la recepción del mismo por todos los socios en el domicilio designado al efecto o en el que conste en la documentación de la sociedad. En el caso de socios que residan en el extranjero, los estatutos podrán prever que sólo serán individualmente convocados si hubieran designado un lugar del territorio nacional para notificaciones.

Con carácter voluntario y adicional, la convocatoria se podrá publicar en uno de los diarios de mayor circulación en la provincia en que esté situado el domicilio social.

3. Por excepción a lo dispuesto en el apartado anterior, en el caso de sociedad anónima con acciones al portador, la convocatoria deberá realizarse, al menos, mediante anuncio en el Boletín Oficial del Registro Mercantil.

Artículo 518. Información general previa a la junta.

Desde la publicación del anuncio de convocatoria y hasta la celebración de la junta general, la sociedad deberá publicar ininterrumpidamente en su página web, al menos, la siguiente información:

  1. El anuncio de la convocatoria.
  2. El número total de acciones y derechos de voto en la fecha de la convocatoria, desglosados por clases de acciones, si existieran.
  3. Los documentos que se presentarán a la junta general y, en particular, los informes de administradores, auditores de cuentas y expertos independientes.
  4. Los textos completos de las propuestas de acuerdo o, en el caso de no existir, un informe de los órganos competentes, comentando cada uno de los puntos del orden del día. A medida que se reciban, se incluirán también las propuestas de acuerdo presentadas por los accionistas.
  5. Los formularios que deberán utilizarse para el voto por representación y a distancia, salvo cuando sean enviados directamente por la sociedad a cada accionista. En el caso de que no puedan publicarse en el sitio de Internet por causas técnicas, la sociedad deberá indicar en el sitio de Internet cómo obtener los formularios en papel, que deberá enviar a todo accionista que lo solicite.

Artículo 519. Derecho a completar el orden del día y a presentar nuevas propuestas de acuerdo.

1. Los accionistas que representen al menos el cinco por ciento del capital social podrán solicitar que se publique un complemento a la convocatoria de la junta general ordinaria, incluyendo uno o más puntos en el orden del día, siempre que los nuevos puntos vayan acompañados de una justificación o, en su caso, de una propuesta de acuerdo justificada. En ningún caso podrá ejercitarse dicho derecho respecto a la convocatoria de juntas generales extraordinarias.

El ejercicio de este derecho deberá efectuarse mediante notificación fehaciente que habrá de recibirse en el domicilio social dentro de los cinco días siguientes a la publicación de la convocatoria. El complemento deberá publicarse con quince días de antelación como mínimo a la fecha establecida para la reunión de la junta. La falta de publicación en plazo del complemento será causa de nulidad de la junta.

2. Los accionistas que representen al menos el cinco por ciento del capital social podrán, en el mismo plazo señalado en el apartado anterior, presentar propuestas fundamentadas de acuerdo sobre asuntos ya incluidos o que deban incluirse en el orden del día de la junta convocada. La sociedad asegurará la difusión de estas propuestas de acuerdo y de la documentación que en su caso se adjunte, entre el resto de los accionistas, de conformidad con lo dispuesto en la letra d) del artículo anterior.

Artículo 520. Ejercicio del derecho de información del accionista.

1. El ejercicio del derecho de información de los accionistas se rige por lo previsto en el artículo 197. Además, los accionistas podrán solicitar a los administradores, por escrito hasta el séptimo día anterior al previsto para la celebración de la junta, o verbalmente durante su celebración, las aclaraciones que estimen precisas acerca de la información accesible al público que la sociedad hubiera facilitado a la Comisión Nacional del Mercado de Valores desde la celebración de la última junta general y acerca del informe del auditor.

2. Los administradores no estarán obligados a responder a preguntas concretas de los accionistas cuando, con anterioridad a su formulación, la información solicitada esté clara y directamente disponible para todos los accionistas en la página web de la sociedad bajo el formato pregunta-respuesta.

Artículo 521. Participación a distancia.

1. La participación en la junta general y el voto de las propuestas sobre puntos comprendidos en el orden del día de cualquier clase de junta general podrán delegarse o ejercitarse directamente por el accionista mediante correspondencia postal, electrónica o cualquier otro medio de comunicación a distancia, en los términos que establezcan los estatutos de la sociedad, siempre que se garantice debidamente la identidad del sujeto que participa o vota y la seguridad de las comunicaciones electrónicas.

2. De conformidad con lo que se disponga en los estatutos, el reglamento de la junta general podrá regular el ejercicio a distancia de tales derechos incluyendo, en especial, alguna o todas las formas siguientes:

  1. La transmisión en tiempo real de la junta general.
  2. La comunicación bidireccional en tiempo real para que los accionistas puedan dirigirse a la junta general desde un lugar distinto al de su celebración.
  3. Un mecanismo para ejercer el voto antes o durante la junta general sin necesidad de nombrar a un representante que esté físicamente presente en la junta.

Artículo 522. La representación del accionista en la junta general.

1. Las cláusulas estatutarias que limiten el derecho del accionista a hacerse representar por cualquier persona en las juntas generales serán nulas. No obstante, los estatutos podrán prohibir la sustitución del representante por un tercero, sin perjuicio de la designación de una persona física cuando el representante sea una persona jurídica.

2. En caso de que se hayan emitido instrucciones por parte del accionista representado, el representante emitirá el voto con arreglo a las mismas y tendrá la obligación de conservar dichas instrucciones durante un año desde la celebración de la junta correspondiente.

3. El nombramiento del representante por el accionista y la notificación del nombramiento a la sociedad podrán realizarse por escrito o por medios electrónicos. La sociedad establecerá el sistema para la notificación electrónica del nombramiento, con los requisitos formales, necesarios y proporcionados para garantizar la identificación del accionista y del representante o representantes que designe. Lo dispuesto en este apartado será de aplicación a la revocación del nombramiento del representante.

4. El representante podrá tener la representación de más de un accionista sin limitación en cuanto al número de accionistas representados. Cuando un representante tenga representaciones de varios accionistas, podrá emitir votos de signo distinto en función de las instrucciones dadas por cada accionista.

5. En todo caso, el número de acciones representadas se computará para la válida constitución de la junta.

Artículo 525. Resultado de las votaciones.

1. Para cada acuerdo sometido a votación de la junta general deberá determinarse, como mínimo, el número de acciones respecto de las que se hayan emitido votos válidos, la proporción de capital social representado por dichos votos, el número total de votos válidos, el número de votos a favor y en contra de cada acuerdo y, en su caso, el número de abstenciones.

2. Los acuerdos aprobados y el resultado de las votaciones se publicarán íntegros en la página web de la sociedad dentro de los cinco días siguientes a la finalización de la junta general.

Artículo 539. Instrumentos especiales de información.

1. Las sociedades anónimas cotizadas deberán cumplir los deberes de información por cualquier medio técnico, informático o telemático, sin perjuicio del derecho de los accionistas a solicitar la información en forma impresa.

2. Las sociedades anónimas cotizadas deberán disponer de una página web para atender el ejercicio, por parte de los accionistas, del derecho de información, y para difundir la información relevante exigida por la legislación sobre el mercado de valores.

En la página web de la sociedad se habilitará un Foro Electrónico de Accionistas, al que podrán acceder con las debidas garantías tanto los accionistas individuales como las asociaciones voluntarias que puedan constituir, con el fin de facilitar su comunicación con carácter previo a la celebración de las Juntas generales. En el Foro podrán publicarse propuestas que pretendan presentarse como complemento del orden del día anunciado en la convocatoria, solicitudes de adhesión a tales propuestas, iniciativas para alcanzar el porcentaje suficiente para ejercer un derecho de minoría previsto en la ley, así como ofertas o peticiones de representación voluntaria.

3. Al consejo de administración corresponde establecer el contenido de la información a facilitar en la página web, de conformidad con lo que establezca el Ministerio de Economía y Hacienda o, con su habilitación expresa, la Comisión Nacional del Mercado de Valores.

4. Los accionistas de cada sociedad cotizada podrán constituir Asociaciones específicas y voluntarias para el ejercicio de sus derechos y la mejor defensa de sus intereses comunes. Las Asociaciones de accionistas deberán inscribirse en un Registro especial habilitado al efecto en la Comisión Nacional del Mercado de Valores. Reglamentariamente se desarrollará el régimen jurídico de las Asociaciones de Accionistas que comprenderá, al menos, los requisitos y límites para su constitución, las bases de su estructura orgánica, las reglas de su funcionamiento, los derechos y obligaciones que les correspondan, especialmente en su relación con la sociedad cotizada.

5. Asimismo, se faculta al Gobierno y, en su caso, al Ministerio de Economía y Hacienda y, con su habilitación expresa, a la Comisión Nacional del Mercado de Valores, para desarrollar las especificaciones técnicas y jurídicas necesarias respecto a lo establecido en este artículo.

Normas técnicas relativas a la firma electrónica


En el marco de ETSI (European Telecommunications Standards Institute) se han desarrollado diferentes normas técnicas relacionadas con la firma electrónica que conviene conocer.

Las incluyo en la siguiente tabla:

Standard Título del Standard
TS 101 733 CMS Advanced Electronic Signatures (CAdES)
TS 102 734 Profiles of CMS Advanced Electronic Signatures based on TS 101 733 (CAdES)
TS 101 903 XML Advanced Electronic Signatures (XAdES)
TS 102 904 Profiles of XML Advanced Electronic Signatures based on TS 101 903 (XAdES)
TS 102 778-1 PDF Advanced Electronic Signature Profiles;
Part 1: PAdES Overview – a framework document for PAdES
TS 102 778-2 PDF Advanced Electronic Signature Profiles;
Part 2: PAdES Basic – Profile based on ISO 32000-1
TS 102 778-3 PDF Advanced Electronic Signature Profiles;
Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles
TS 102 778-4 PDF Advanced Electronic Signature Profiles;
Part 4: PAdES Long Term – PAdES LTV Profile
TS 102 778-5 PDF Advanced Electronic Signature Profiles;
Part 5: PAdES for XML Content – Profiles for XAdES signatures
TR 102 047 International Harmonization of Electronic Signature Formats
TR 102 438 Application of Electronic Signature Standards in Europe
TR 102 605 Registered E-Mail
TS 102 640-1 Registered Electronic Mail (REM); Architecture, Formats and Policies;
Part 1: Architecture
TS 102 640-2 Registered Electronic Mail (REM); Architecture, Formats and Policies;
Part 2: Data Requirements and Formats for Signed Evidences for REM
TS 102 640-3 Registered Electronic Mail (REM); Architecture, Formats and Policies;
Part 3: Information Security Policy Requirements for REM Management Domains
TS 102 231 Provision of harmonized Trust-service status information
TS 101 861 Time stamping profile
TS 101 862 Qualified Certificate profile
TR 102 272 ASN.1 format for signature policies
TS 102 280 X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons
TS 101 456 Policy requirements for certification authorities issuing qualified certificates
TR 102 437 Guidance on TS 101 456 (Policy Requirements for certification authorities issuing qualified certificates)
TR 102 458 Mapping Comparison Matrix between the US Federal Bridge CA Certificate Policy and the European Qualified Certificate Policy (TS 101 456)
TS 102 023 Policy requirements for time-stamping authorities
TR 102 040 International Harmonization of Policy Requirements for CAs issuing Certificates
TS 102 042 Policy requirements for certification authorities issuing public key certificates
TS 102 158 Policy requirements for Certification Service Providers issuing attribute certificates usable with Qualified certificates
TR 102 572 Best Practices for handling electronic signatures and signed data for digital accounting
TS 102 573 Policy requirements for trust service providers signing and/or storing data for digital accounting
TS 102 176-1 Algorithms and Parameters for Secure Electronic Signatures;
Part 1: Hash functions and asymmetric algorithms
TS 102 176-2 Algorithms and Parameters for Secure Electronic Signatures;
Part 2: Secure channel protocols and algorithms for signature creation devices
 
 
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 2.424 seguidores